معلومات جي حفاظت جي واقعن جي جواب ڏيڻ لاء الگورتھم ۽ حڪمت عمليون، موجوده سائبر حملن ۾ رجحانات، ڪمپنين ۾ ڊيٽا ليڪ جي تحقيقات لاء طريقا، برائوزر ۽ موبائيل ڊوائيسز جي تحقيق ڪرڻ، اينڪرپٽ فائلن جو تجزيو ڪرڻ، جيولوڪيشن ڊيٽا کي ڪڍڻ ۽ ڊيٽا جي وڏي مقدار جا تجزيا - اهي سڀ ۽ ٻيا عنوان گروپ-IB ۽ Belkasoft جي نئين گڏيل ڪورسز تي اڀياس ڪري سگھجي ٿو. آگسٽ ۾ اسان پهريون Belkasoft ڊجيٽل فارنسڪ ڪورس، جيڪو 9 سيپٽمبر تي شروع ٿئي ٿو، ۽ سوالن جو هڪ وڏو انگ حاصل ڪرڻ بعد، اسان وڌيڪ تفصيل سان ڳالهائڻ جو فيصلو ڪيو ته شاگرد ڇا پڙهندا، ڪهڙي ڄاڻ، صلاحيتون ۽ بونس (!) حاصل ڪندا جيڪي انهن کي ملندا. آخر تائين پهچڻ. پهرين شيون پهرين.
ٻه سڀ هڪ ۾
گڏيل ٽريننگ ڪورس منعقد ڪرڻ جو خيال گروپ-آئي بي ڪورس جي شرڪت کان پوءِ ظاهر ٿيو ته شرڪت ڪندڙن هڪ اوزار بابت پڇڻ شروع ڪيو جيڪو انهن کي سمجھوتي ٿيل ڪمپيوٽر سسٽم ۽ نيٽ ورڪ جي تحقيق ڪرڻ ۾ مدد ڏيندو، ۽ مختلف مفت افاديت جي ڪارڪردگي کي گڏ ڪري ٿو جيڪو اسان واقعي جي جواب دوران استعمال ڪرڻ جي صلاح ڪريون ٿا.
اسان جي راء ۾، اهڙي اوزار ٿي سگهي ٿو Belkasoft ثبوت سينٽر (اسان اڳ ۾ ئي ان بابت ڳالهايو آهي Igor Mikhailov "شروع جي ڪنجي: ڪمپيوٽر فارنڪس لاء بهترين سافٽ ويئر ۽ هارڊويئر"). تنهن ڪري، اسان، Belkasoft سان گڏ، ٻه تربيتي ڪورس تيار ڪيا آهن: Belkasoft ڊجيٽل فارنڪس и Belkasoft واقعا جوابي امتحان.
اهم: ڪورس ترتيب وار آهن ۽ هڪ ٻئي سان ڳنڍيل آهن! Belkasoft Digital Forensics Belkasoft Evidence Center پروگرام لاءِ وقف آهي، ۽ Belkasoft واقعا جوابي امتحان Belkasoft پروڊڪٽس استعمال ڪندي واقعن جي تحقيقات لاءِ وقف آهي. اھو آھي، پڙھڻ کان پھريائين Belkasoft Incident Response Examination ڪورس، اسان زور ڀريو آھي ته Belkasoft Digital Forensics ڪورس مڪمل ڪريو. جيڪڏهن توهان فوري طور تي واقعي جي تحقيق جي ڪورس سان شروع ڪريو ٿا، ته شاگرد کي شايد پريشان ڪندڙ ڄاڻ جي فرق آهي Belkasoft Evidence Center استعمال ڪرڻ، ڳولڻ ۽ جانچڻ ۾ فارنزڪ نمونن کي. اهو حقيقت ڏانهن وٺي سگھي ٿو ته Belkasoft حادثن جي جوابي امتحان واري ڪورس ۾ تربيت دوران، شاگرد کي يا ته مواد تي مهارت حاصل ڪرڻ جو وقت نه هوندو، يا نئين علم حاصل ڪرڻ ۾ باقي گروپ کي سست ڪندو، ڇو ته تربيت جو وقت خرچ ڪيو ويندو. ٽرينر طرفان Belkasoft ڊجيٽل فارنسڪ ڪورس مان مواد جي وضاحت ڪندي.
Belkasoft ثبوت سينٽر سان ڪمپيوٽر فارنڪس
ڪورس جو مقصد Belkasoft ڊجيٽل فارنڪس - شاگردن کي Belkasoft Evidence Center پروگرام ۾ متعارف ڪرايو، انهن کي مختلف ذريعن کان ثبوت گڏ ڪرڻ لاءِ هن پروگرام کي استعمال ڪرڻ سيکاريو (ڪلائوڊ اسٽوريج، رينڊم رسائي ميموري (RAM)، موبائيل ڊيوائسز، اسٽوريج ميڊيا (هارڊ ڊرائيو، فليش ڊرائيو وغيره)، ماسٽر بنيادي فرانزڪ ٽيڪنڪ ۽ ٽيڪنڪ، ونڊوز آرٽيڪٽس جي فارنزڪ امتحان جا طريقا، موبائيل ڊيوائسز، RAM ڊمپس. توهان پڻ سکندا ته برائوزرن ۽ انسٽنٽ ميسيجنگ پروگرامن جا نمونا سڃاڻڻ ۽ ڊاڪيومينٽ ڪرڻ، مختلف ذريعن مان ڊيٽا جون فارنزڪ ڪاپيون ٺاهي، جاگرافيائي مقام جي ڊيٽا ڪڍي ۽ ڳولا. متن جي ترتيبن لاءِ (ڪي ورڊس جي ڳولا)، ريسرچ ڪرڻ وقت هيش استعمال ڪريو، ونڊوز رجسٽري جو تجزيو ڪريو، اڻڄاتل SQLite ڊيٽابيس کي ڳولهڻ جي صلاحيتن ۾ مهارت حاصل ڪريو، گرافڪ ۽ وڊيو فائلن کي جانچڻ جا بنيادي طريقا، ۽ تحقيق دوران استعمال ٿيندڙ تجزياتي ٽيڪنالاجيون.
اهو ڪورس ڪمپيوٽر ٽيڪنيڪل فارنڪس (ڪمپيوٽر فارنڪس) جي شعبي ۾ ماهرن جي ماهرن لاءِ مفيد ثابت ٿيندو. ٽيڪنيڪل ماهر جيڪي ڪامياب مداخلت جي سببن جو تعين ڪن ٿا، واقعن جي زنجير جو تجزيو ڪن ٿا ۽ سائبر حملن جا نتيجا؛ ٽيڪنيڪل ماهرن جي سڃاڻپ ۽ دستاويزن ڊيٽا چوري (ليڪ) هڪ اندروني (اندروني خلاف ورزي ڪندڙ) طرفان؛ e-Discovery ماهرن؛ SOC ۽ CERT/CSIRT اسٽاف؛ معلومات سيڪيورٽي ملازمن؛ ڪمپيوٽر فارنزڪ جا شوقين.
ڪورس پلان:
- Belkasoft ثبوت سينٽر (BEC): پهريون قدم
- BEC ۾ ڪيسن جي تخليق ۽ پروسيسنگ
- BEC سان فارنزڪ تحقيقات لاء ڊجيٽل ثبوت گڏ ڪريو
- فلٽر استعمال ڪندي
- رپورٽون ٺاهڻ
- فوري پيغام رسائيندڙ پروگرامن تي تحقيق
- ويب برائوزر ريسرچ
- موبائل ڊوائيس ريسرچ
- جاگرافيائي مقام جي ڊيٽا کي ڪڍڻ
- ڪيسن ۾ متن جي ترتيب جي ڳولا
- ڪلائوڊ اسٽوريج مان ڊيٽا ڪڍڻ ۽ تجزيو ڪرڻ
- تحقيق دوران مليل اهم ثبوتن کي اجاگر ڪرڻ لاءِ بک مارڪس استعمال ڪرڻ
- ونڊوز سسٽم فائلن جي چڪاس
- ونڊوز رجسٽري تجزيو
- SQLite ڊيٽابيس جو تجزيو
- ڊيٽا واپس آڻڻ جا طريقا
- رام ڊمپ جي جانچ ڪرڻ لاء ٽيڪنڪ
- فارنزڪ ريسرچ ۾ هيش ڳڻپيوڪر ۽ هيش تجزيو استعمال ڪندي
- اينڪرپٽ ٿيل فائلن جو تجزيو
- گرافڪ ۽ وڊيو فائلن جي مطالعي لاء طريقا
- فارنسڪ تحقيق ۾ تجزياتي ٽيڪنالاجي جو استعمال
- بلٽ ان بيلڪاسڪرپٽس پروگرامنگ ٻولي استعمال ڪندي معمول جي عملن کي خودڪار ڪريو
- عملي سبق
ڪورس: Belkasoft واقعا جوابي امتحان
ڪورس جو مقصد سائبر حملن جي فرانزڪ تحقيق جي بنيادي ڳالهين ۽ تحقيق ۾ Belkasoft Evidence Center استعمال ڪرڻ جا امڪان سکڻ آهي. توهان ڪمپيوٽر جي نيٽ ورڪن تي جديد حملن جي مکيه ویکٹرز جي باري ۾ سکندا، ڪمپيوٽر جي حملن کي MITER ATT ۽ CK ميٽرڪس جي بنياد تي درجه بندي ڪرڻ سکو، سمجھوتي جي حقيقت کي قائم ڪرڻ لاءِ آپريٽنگ سسٽم ريسرچ الگورٿم لاڳو ڪريو ۽ حملي آورن جي عملن کي ٻيهر ترتيب ڏيو، سکو ته آثار ڪٿي آهن. ظاهر ڪيو ته ڪهڙن فائلن کي آخري کوليو ويو، جتي آپريٽنگ سسٽم معلومات کي ذخيرو ڪري ٿو ته ڪيئن قابل عمل فائلون ڊائون لوڊ ڪيون ويون ۽ ان تي عمل ڪيو ويو، ڪيئن حملو ڪندڙ نيٽ ورڪ ۾ منتقل ٿيا، ۽ سکو ته ڪيئن BEC استعمال ڪندي انهن نمونن کي جانچيو. توهان اهو پڻ سکندا ته سسٽم لاگز ۾ ڪهڙا واقعا واقعا جي تحقيق ۽ ريموٽ رسائي جي ڳولا جي نقطي نظر کان دلچسپي جا آهن، ۽ سکو ته BEC استعمال ڪندي انهن جي تحقيق ڪيئن ڪجي.
اهو ڪورس ٽيڪنيڪل ماهرن لاءِ ڪارآمد هوندو جيڪي ڪامياب مداخلت جا سبب طئي ڪندا، واقعن جي زنجيرن جو تجزيو ڪندا ۽ سائبر حملن جا نتيجا؛ سسٽم منتظمين؛ SOC ۽ CERT/CSIRT اسٽاف؛ معلومات سيڪيورٽي عملي.
ڪورس جو جائزو
Cyber Kill Chain ڪنهن به فني حملي جي مکيه مرحلن کي بيان ڪري ٿو مقتول جي ڪمپيوٽرن (يا ڪمپيوٽر نيٽ ورڪ) تي هن ريت:
SOC ملازمن جي ڪارناما (CERT، معلومات جي حفاظت، وغيره) جو مقصد آهي مداخلت ڪندڙن کي محفوظ معلومات جي وسيلن تائين رسائي کان روڪڻ.
جيڪڏهن حملي آور محفوظ انفراسٽرڪچر ۾ داخل ٿين ٿا ته پوءِ مٿين ماڻهن کي ڪوشش ڪرڻ گهرجي ته حملي آورن جي سرگرمين مان نقصان کي گهٽ ۾ گهٽ ڪن، اهو طئي ڪن ته حملو ڪيئن ڪيو ويو، حملي آورن جي واقعن ۽ عملن جي تسلسل کي ٻيهر ٺهڪندڙ معلوماتي ڍانچي ۾ شامل ڪيو وڃي. مستقبل ۾ هن قسم جي حملي کي روڪڻ لاءِ قدم کنيا وڃن.
هيٺ ڏنل قسم جا نشان ڳولهي سگهجن ٿا هڪ سمجھوتي معلومات جي انفراسٽرڪچر ۾، اهو ظاهر ڪري ٿو ته نيٽ ورڪ (ڪمپيوٽر) سمجھوتو ڪيو ويو آهي:
Belkasoft Evidence Center پروگرام استعمال ڪندي اهڙا سڀئي نشان ڳولي سگهجن ٿا.
BEC وٽ هڪ "حادثات جي تحقيقات" ماڊل آهي، جتي، اسٽوريج ميڊيا جو تجزيو ڪرڻ وقت، نموني بابت معلومات رکيل آهي جيڪا محقق جي مدد ڪري سگهي ٿي جڏهن واقعن جي تحقيقات ڪري ٿي.
بي اي سي ونڊوز آرٽيڪٽس جي مکيه قسمن جي جانچ جي حمايت ڪري ٿو جيڪي تحقيق هيٺ سسٽم تي عمل ڪندڙ فائلن جي عمل کي ظاهر ڪن ٿا، بشمول Amcache، Userassist، Prefetch، BAM/DAM فائلون، سسٽم جي واقعن جو تجزيو.
سمجھوتي نظام ۾ صارف جي عملن بابت معلومات تي مشتمل نشانين بابت معلومات ھيٺ ڏنل شڪل ۾ پيش ڪري سگھجي ٿو:
هي معلومات، ٻين شين جي وچ ۾، شامل آهي معلومات تي عمل ڪندڙ فائلون هلائڻ بابت:
فائل 'RDPWInst.exe' هلائڻ بابت ڄاڻ.
سمجھوتي نظام ۾ حملي ڪندڙن جي موجودگي بابت معلومات Windows رجسٽري جي شروعاتي چابين، خدمتن، شيڊول ٿيل ڪمن، لاگ ان اسڪرپٽ، WMI وغيره ۾ ملي سگھي ٿي. سسٽم سان ڳنڍيل حملي ڪندڙن بابت معلومات ڳولڻ جا مثال هيٺ ڏنل اسڪرين شاٽ ۾ ڏسي سگهجن ٿا:
ٽاسڪ شيڊولر استعمال ڪندي حملي ڪندڙن کي روڪيو ٽاسڪ ٺاهي جيڪو پاور شيل اسڪرپٽ هلائي ٿو.
Windows Management Instrumentation (WMI) استعمال ڪندي حملي ڪندڙن کي مضبوط ڪرڻ.
لاگ ان اسڪرپٽ استعمال ڪندي حملي ڪندڙن کي مضبوط ڪرڻ.
سمجھوتي ٿيل ڪمپيوٽر نيٽ ورڪ تي حملي ڪندڙن جي حرڪت کي ڳولي سگھجي ٿو، مثال طور، ونڊوز سسٽم لاگز جو تجزيو ڪندي (جيڪڏھن حملو ڪندڙ RDP سروس استعمال ڪندا آھن).
معلوم ٿيل RDP ڪنيڪشن بابت ڄاڻ.
نيٽ ورڪ تي حملي ڪندڙن جي حرڪت بابت معلومات.
اهڙيءَ طرح، Belkasoft Evidence Center مدد ڪري سگهي ٿو محققن کي هڪ حملي ٿيل ڪمپيوٽر نيٽ ورڪ ۾ سمجھوتي ٿيل ڪمپيوٽرن جي سڃاڻپ ڪرڻ، مالويئر جي لانچ جا نشان ڳولڻ، سسٽم ۾ فيڪسيشن جا نشان ۽ سڄي نيٽ ورڪ ۾ حرڪت، ۽ سمجھوتي ٿيل ڪمپيوٽرن تي حملي ڪندڙ سرگرمي جا ٻيا نشان.
اهڙي تحقيق ڪيئن ڪجي ۽ مٿي بيان ڪيل نمونن جو پتو لڳايو وڃي Belkasoft Incident Response Examination ٽريننگ ڪورس ۾.
ڪورس پلان:
- سائبر حملي جا رجحان. ٽيڪنالاجي، اوزار، حملي آورن جا مقصد
- حملي جي حڪمت عملي، ٽيڪنالاجي، ۽ طريقيڪار کي سمجهڻ لاء خطرو ماڊل استعمال ڪندي
- سائبر مار زنجير
- حادثو جواب الورورٿم: سڃاڻپ، لوڪلائيزيشن، اشارن جي نسل، نئين متاثر ٿيل نوڊس جي ڳولا
- BEC استعمال ڪندي ونڊوز سسٽم جو تجزيو
- ابتدائي انفيڪشن جي طريقن جي ڳولا، نيٽ ورڪ جي پکيڙ، استحڪام، ۽ BEC استعمال ڪندي مالويئر جي نيٽ ورڪ سرگرمي
- متاثر ٿيل سسٽم جي سڃاڻپ ڪريو ۽ BEC استعمال ڪندي انفيڪشن جي تاريخ بحال ڪريو
- عملي سبق
لوڊڪورس ڪٿي آهن؟
ڪورسز گروپ-آءِ بي جي هيڊ ڪوارٽرز يا ٻاهرين سائيٽ (ٽريننگ سينٽر) تي منعقد ڪيا ويندا آهن. اهو ممڪن آهي ته هڪ ٽرينر ڪارپوريٽ گراهڪن سان سائيٽن ڏانهن سفر ڪرڻ لاء.
ڪلاس ڪير هلائي ٿو؟
گروپ-آءِ بي تي تربيت ڏيندڙ عملي آھن ڪيترن ئي سالن جو تجربو فرانزڪ تحقيق، ڪارپوريٽ تحقيقات ۽ معلومات جي حفاظت جي واقعن جو جواب ڏيڻ ۾.
ٽرينرز جي قابليت ڪيترن ئي بين الاقوامي سرٽيفڪيٽن جي تصديق ڪئي وئي آهي: GCFA، MCFE، ACE، EnCE، وغيره.
اسان جا ٽرينر آساني سان سامعين سان هڪ عام ٻولي ڳوليندا آهن، واضح طور تي واضح طور تي تمام پيچيده موضوعن جي وضاحت ڪندي. شاگرد ڪمپيوٽر جي واقعن جي تحقيقات، ڪمپيوٽر جي حملن کي سڃاڻڻ ۽ ان کي منهن ڏيڻ جا طريقا، ۽ حقيقي عملي ڄاڻ حاصل ڪرڻ جي باري ۾ تمام گهڻي لاڳاپيل ۽ دلچسپ معلومات سکندا جيڪي گريجوئيشن کان پوءِ فوري طور تي لاڳو ڪري سگهن ٿا.
ڇا ڪورس ڪارآمد صلاحيتون مهيا ڪندا جيڪي Belkasoft پروڊڪٽس سان لاڳاپيل نه هوندا، يا اهي صلاحيتون هن سافٽ ويئر کان سواءِ لاڳو نه ٿينديون؟
تربيت دوران حاصل ڪيل صلاحيتون Belkasoft پروڊڪٽس استعمال ڪرڻ کان سواءِ ڪارآمد ثابت ٿينديون.
شروعاتي جاچ ۾ ڇا شامل آهي؟
پرائمري ٽيسٽنگ ڪمپيوٽر فارنزڪس جي بنيادي ڳالهين جي ڄاڻ جو امتحان آهي. Belkasoft ۽ Group-IB پروڊڪٽس جي ڄاڻ کي جانچڻ جو ڪو به منصوبو ناهي.
آئون ڪمپني جي تعليمي ڪورسن بابت معلومات ڪٿي ڳولي سگهان ٿو؟
تعليمي ڪورسز جي حصي جي طور تي، گروپ-آءِ بي حادثن جي جوابن ۾ ماهرن کي تربيت ڏئي ٿو، مالويئر ريسرچ، سائبر انٽيليجنس اسپيشلسٽ (ٿريٽ انٽيليجنس)، سيڪيورٽي آپريشن سينٽر (ايس او سي) ۾ ڪم ڪرڻ لاءِ اسپيشلسٽ، فعال خطري جي شڪار ۾ ماهر (ٿريٽ هنٽر) وغيره. . گروپ-آئي بي کان ملڪيت جي ڪورسز جي مڪمل فهرست موجود آھي .
گروپ-IB ۽ Belkasoft جي وچ ۾ گڏيل ڪورس مڪمل ڪرڻ وارا شاگرد ڪهڙا بونس وصول ڪندا آهن؟
جيڪي گروپ-IB ۽ Belkasoft جي وچ ۾ گڏيل ڪورسز ۾ تربيت مڪمل ڪري چڪا آھن حاصل ڪندا:
- ڪورس جي مڪمل ٿيڻ جو سرٽيفڪيٽ؛
- Belkasoft Evidence Center لاءِ مفت مھينا رڪنيت؛
- Belkasoft Evidence Center جي خريداري تي 10% رعايت.
اسان توهان کي ياد ڏياريندا آهيون ته پهريون ڪورس سومر تي شروع ٿئي ٿو، 9 اپريل، - انفارميشن سيڪيورٽي، ڪمپيوٽر فارنڪس ۽ واقعن جي جواب جي ميدان ۾ منفرد ڄاڻ حاصل ڪرڻ جو موقعو نه وڃايو! ڪورس لاءِ رجسٽريشن .
ذريعوآرٽيڪل تيار ڪرڻ ۾، اسان اوليگ اسڪلڪن پاران پيش ڪيل پيشڪش استعمال ڪيو "ميزبان تي ٻڌل فارنڪس استعمال ڪندي ڪامياب انٽيليجنس تي مبني واقعي جي جواب لاء سمجھوتي جا اشارا حاصل ڪرڻ."
جو ذريعو: www.habr.com